Malware Androxgh0st, pioggia di server infettati in tutto il mondo

Secondo quanto riportato da Veriti Research, si sta registrando un grande aumento di infezioni causate dal malware Androxgh0st.

Allo stato attuale sono stati individuati oltre 600 server compromessi, con un numero probabilmente destinato a salire nei prossimi giorni.  L’agente malevolo in questione sta sfruttando diverse vulnerabilità, ovvero:

• CVE-2021-3129
• CVE-2024-1709
• CVE-2019-2725

colpendo prevalentemente server situati in Stati Uniti, Taiwan e India, andando a creare una botnet in continua espansione.

Gli esperti del sito Hackread.com, dal canto loro, stanno monitorando Androxgh0st dal momento della sua scoperta, ovvero dalla fine del 2022. In questo lasso di tempo, il malware si è reso disponibile di diverse campagne, tra cui spicca quella mirata a diffondere il ransomware Adhublika.

Androxgh0st viene utilizzato per realizzare una botnet

Stando ai resoconti degli esperti, gli operatori dietro il malware lavorano con applicazioni Laravel, sfruttate per rubare credenziali su servizi cloud come AWS, SendGrid e Twilio.

La pericolosità di Androxgh0st è tale da aver costretto alla mobilitazione persino l’FBI e la CISA. Le due agenzie, infatti, hanno emesso un avviso congiunto che avvertono le potenziali vittime rispetto all’utilizzo della suddetta botnet.

Il caso di Androxgh0st, d’altro canto, non sorprende più di tanto gli esperti di cybersecurity. Come testimoniato da alcuni recenti studi, le botnet sono ormai in costante crescita e, con tutta probabilità, saranno una modalità di attacco sempre più diffusa nel corso dei prossimi anni.

Una botnet è una rete composta da un numero elevato di dispositivi elettronici infettati da un malware. Questi, definiti “bot“, sono controllati dai cybercriminali e vengono sfruttati per effettuare attacchi informatici. I principali obiettivi dei criminali informatici sono server e router.

La scoperta di Veriti ha dimostrato ancora una volta quanto sia importante non farsi cogliere impreparati. A tal proposito, le aziende devono aggiornare tempestivamente i propri server, adottando le più recenti patch di sicurezza fornite dai produttori hardware.